Integrit: file verification system: differenze tra le versioni

Da Guide@Debianizzati.Org.
Vai alla navigazione Vai alla ricerca
mNessun oggetto della modifica
(8 versioni intermedie di 5 utenti non mostrate)
Riga 1: Riga 1:
''Torna all'indice: [[Linux Kernel in a Nutshell]]''
{{Versioni compatibili|Squeeze|Wheezy|Jessie}}
== Introduzione ==
[http://integrit.sourceforge.net/ Integrit] è un "file verification system": è assimilabile alla famiglia degli [[intrusion detection system]] o [[IDS]] e ha la funzione di verificare che determinati file non subiscano modifiche.


Uno dei punti pi� delicati e difficili nella creazione della propria versione del kernel Linux � quello di determinare esattamente quali driver e quali opzioni di configurazione sono richiesti per il corretto funzionamento dalla macchina su cui viene installato.
Questi controlli sull'integrità dei file hanno molti vantaggi:
Questo capitolo guider� il lettore attraverso questo processo di selezione e scelta dei driver corretti.
* non sono pesanti: infatti vengono eseguiti prevalentemente di notte e richiedono pochi minuti
* sono utili: un aggressore che vuole nascondere dei file, accessi o servizi potrebbe modificare file come [[netstat]], [[last]], [[w]], ls...
* si affiancano a [[intrusion detection system|ids]] di rete e software come [[rkhunter]]


==Usare un kernel di una distribuzione==
Ovviamente non si tratta della soluzione di tutti i mali, in quanto potrebbe essere possibile che l'aggressore abbia modificato anche l'eseguibile di <code>integrit</code>, però un controllo in più non fa mai male!
 
Uno dei metodi pi� semplici, per determinare quali moduli siano necessari, � quello di partire dalla configurazione che viene installata dal pacchetto del kernel della distribuzione che si sta usando. � infatti molto pi� semplice determinare di quali driver si ha bisogno basandosi su quelli installati in un sistema in funzione, in cui i driver corretti sono gi� associati all'hardware in utilizzo.
 
Se invece si sta personalizzando un kernel per una macchina sulla quale non � installata una distribuzione Linux, allora conviene partire dalla versione LiveCD di una distribuzione. Questo consente all'utente di far partire Linux sulla macchina in oggetto e di determinare in maniera semplice le opzioni di configurazione del kernel e che consentono il funzionamento ottimale della macchina stessa.
 
===Dove si trova la configurazione del kernel?===
 
Quasi tutte le distribuzioni forniscono il file di configurazione nello stesso pacchetto del kernel. Si consiglia di leggere la documentazione relativa alla distribuzione stessa per sapere dove viene installato il file di configurazione. Solitamente si trova da qualche parte in una sotto-directory di <tt>/usr/src/linux/</tt>.
 
{{Box|Nota per Debian (NdT)|In debian il file di configurazione di ogni kernel installato si trova in <tt>/boot/</tt> ed ha come nome <tt>config-''versione''</tt>.}}
 
Se avete difficolt� a trovare la configurazione del kernel, allora guardate nel kernel stesso. I kernel di molte distribuzioni sono compilati in modo da includere il file di configurazione dentro il filesystem <tt>/proc</tt>. Per verificare se questo � il vostro caso, digitate:


== Installazione ==
L'installazione è molto semplice, con [[privilegi di amministrazione]]:
<pre>
<pre>
$ ls /proc/config.gz
# apt-get install integrit
/proc/config.gz
</pre>
</pre>


Se il file ''/proc/config.gz'' � presente, allora copiatelo nella directory del sorgente kernel ed estraetelo:
== Configurazione ==
 
I file di configurazione si trovano in <code>/etc/integrit</code>. Dopo l'installazione sono presenti i seguenti file:
<pre>
; <code>integrit.conf</code> : un template di file di configurazione (infatti è tutto commentato), lo utilizzeremo in seguito come punto di partenza;
$ cp /proc/config.gz -/linux/
; <code>integrit.debian.conf</code> : il file di configurazione utilizzato dal [[cron]] di Debian.
$ cd -/linux
$ gzip -dv config.gz
config.gz:      74.9% - - replaced with config
</pre>
 
Copiate questo file di configurazione nella vostra directory del kernel e rinominatelo in ''.config''.
Ora potrete utilizzare questo file come base di partenza nella personalizzazione della configurazione del kernel cos� come descritto nel [[LKN:_Configurare_e_Compilare|Capitolo 4]].
 
Usando questo file di configurazione si dovrebbe ottenere sempre un file immagine del kernel (un ''kernel ricompilato'', NdT) funzionante sulla propria macchina.
Lo svantaggio di questa immagine � che verranno compilati quasi tutti i moduli e driver presenti nei sorgenti del kernel. Ci� non � quasi mai necessario per una singola macchina, quindi sarebbe meglio disabilitare tutti i driver e le opzioni non necessarie. Si raccomanda di disabilitare solo quelle opzioni che si � sicuri non serviranno, poich� ci sono parti del sistema che richiedono l'abilitazione di certe opzioni.
 
===Determinare quali moduli siano necessari===
Usando il file di configurazione fornito dalla vostra distribuzione il tempo richiesto per la compilazione del kernel � molto lungo poich� tutti i possibili driver vengono abilitati. Si dovrebbe cercare di abilitare solo i driver per l'hardware presente nel sistema, cos� da ridurre i tempi di compilazione del kernel. Inoltre, compilando ''staticamente'' (invece che come moduli) alcuni o tutti i driver necessari, si riduce la memoria utilizzata ed in alcune architetture si velocizza il funzionamento del sistema. Per escludere i driver dal kernel � necessario per� determinare quali moduli sono indispensabili per il funzionamento dell'hardware installato. Attraverso l'utilizzo di due esempi, cercheremo di spiegare come determinare quali driver siano indispensabili al controllo dell'hardware.
 
Le informazioni che mettono in relazione i dispositivi ai driver presenti nel kernel sono conservate in varie parti del sistema. Uno dei posti pi� importanti dove sono salvate queste informazioni � il filesystem virtuale ''sysfs''. All'avvio di Linux, ''sysfs'', dovrebbe essere montato dagli script di inizializzazione della vostra distribuzione nella directory ''/sys''. ''sysfs'' consente di dare un'occhiata a come le varie parti del kernel sono legate l'una a l'altra, questo lo si deduce grazie ai vari collegamenti simbolici (''symlink'' NdT) che puntano all'interno dell'intero filesystem.
 
In tutti gli esempi di seguito, saranno riportati i veri percorsi (''path'' NdT) di ''sysfs'' corrispondenti ad hardware specifico. La vostra macchina sar� certamente diversa, ma la posizione  relativa delle informazioni sar� la stessa. Non ci si deve allarmare se i nomi di file nel ''sysfs'' non sono i medesimi, ci� � normale e prevedibile.
 
Inoltre, la struttura interna del file di sistema ''sysfs'' subisce modifiche, a causa sia della riorganizzazione dei driver sia del fatto che gli sviluppatori del kernel trovano nuovi modi per meglio presentare in ''user space'' le strutture interne del kernel. A causa di questo, col tempo, alcuni dei ''symlink'', precedentemente menzionati in questo capitolo, possono non essere presenti. Tuttavia, le informazioni sono ancora tutte presenti, al massimo sono state un po' spostate.
 
====Esempio: Come determinare il driver di rete====
 
Uno degli elementi pi� comuni ed importanti in un sistema � la scheda di rete. � essenziale capire quale driver la controlla ed attivarlo nella configurazione in maniera da consentire un corretto funzionamento delle connessioni di rete.
 
Primo: partendo dalle connessioni di rete si risale al device PCI
<pre>$ ls /sys/class/net/
eth0  eth1  eth2  lo</pre>
 
La directory ''lo'' rappresenta il dispositivo di rete loopback, ed non � dipendente da nessun dispositivo di rete realmente installato. Invece si dovrebbe riservare particolare attenzione alle directory ''eth0'', ''eth1'' e ''eth2'', dato che si riferiscono a dispositivi realmente esistenti
 
Per determinare di quali dispositivi ci si deve occupare, si utilizza il comando ''ifconfig'':
 
<pre>$ /sbin/ifconfig -a
eth0 Link  encap:Ethernet  HWaddr 00:12:3F:65:7D:C2
inet  addr:192.168.0.13  Bcast:192.168.0.255  Mask:255.255.255.0
UP BROADCAST NOTRAILERS RUNNING MULTICAST  MTU:1500  Metric:1
RX packets:2720792 errors:0 dropped:0 overruns:0 frame:0
TX packets:1815488 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:3103826486 (2960.0 Mb) TX bytes:371424066 (354.2 Mb)
Base address:0xdcc0 Memory:dfee0000-dff00000
eth1 Link  encap:UNSPEC  HWaddr 80-65-00-12-7D-C2-3F-00-00-00-00-00-00-00-00
BROADCAST MULTICAST  MTU:1500  Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)
eth2 Link  encap:UNSPEC  HWaddr 00-02-3C-04-11-09-D2-BA-00-00-00-00-00-00-00
BROADCAST MULTICAST  MTU:1500  Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)
lo Link  encap:Local Lookback
        inet addr:127.0.0.1  Mask:255.0.0.0
UP  LOOPBACK  RUNNING  MTU:16436  Metric:1
RX packets:60 errors:0 dropped:0 overruns:0 frame:0
TX packets:60 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:13409 (13.0 Kb) TX bytes:13409 (13.0 Kb)</pre>
 
Da questo listato si pu� riconoscere nel dispositivo di rete <tt>eth0</tt>, quello attivo e funzionante, infatti nelle righe;
 
<pre>eth0 Link  encap:Ethernet  HWaddr 00:12:3F:65:7D:C2
inet  addr:192.168.0.13  Bcast:192.168.0.255  Mask:255.255.255.0</pre>
 
Questo risultato dimostra che il dispositivo Ethernet si vede assegnato un indirizzo IP valido (<tt>inet</tt>).
 
Ora, dopo che abbiamo individuato il dispositivo <tt>eth0</tt> e ci siamo accertati di volerlo abilitare nel nostro nuovo kernel, dobbiamo individuare quale driver lo controlla. Ci� si realizza con una semplice procedura, che � quella si seguire i link nel filesystem sysfs, basta digitare un comando di una sola riga:


<pre>$ basename `readlink /sys/class/net/eth0/device/driver/module`
=== Integrit ===
e1000</pre>
Il file di configurazione di integrit è semplice ed è composto dalle seguenti sezioni (inizialmente commentate):
; root : la directory di partenza (normalmente <code>/</code>)
; know : il [[path]] per il database contenente lo stato ''conosciuto'' del sistema (default <code>/var/lib/integrit/known.cdb</code>)
; current : il path del database usato per effettuare il confronto tra lo stato ''conosciuto'' e quello ''attuale'' (default <code>/var/lib/integrit/current.cdb</code>)


Il risultato mostra che il modulo <tt>e1000</tt> controlla il dispositivo di rete <tt>eth0</tt>. Il comando ''basename'' racchiude in un'unica linea di comando i seguenti passaggi:
seguito da un elenco di file da ignorare.
 
: 1. Individua il symlink ''/sys/class/net/eth0/device'' contenuto all'interno della directory ''/sys/device/'', la quale contiene le informazioni relative al dispositivo che controlla ''eth0''. Fate attenzione al fatto che nelle nuove versioni del kernel la directory ''/sys/class/net/eth0'' potrebbe essere un symlink.
 
: 2. All'interno della directory che descrive il dispositivo in sysfs, c'� un symlink che punta al driver relativo a questo dispositivo. Questo symlink � nominato ''driver'', pertanto si segue questo collegamento.
 
: 3. All'interno della directory che descrive il driver in sysfs, c'� un symlink che punta al modulo che si trova all'interno del driver in oggetto. Questo symlink � chiamato <tt>module</tt>. Noi cerchiamo l'oggetto a cui punta questo symlink, per ottenerlo ci serviamo del comando ''readlink'', il quale produce un risultato simile a questo:
:<pre>$ readlink /sys/class/net/eth0/device/driver/module </pre>
:<pre> ../../../../module/e1000</pre>
 
: 4. Dato che a noi interessa solo il nome del modulo e ci disinteressiamo del resto del risultato ottenuto con il comando ''readlink'', tenendo solo la parte pi� a destra del risultato. Questo � appunto ci� che il comando ''basename'' realizza. Applicandolo direttamente all'intero percorso, questo comando ci ritorna quanto segue:
: <pre>$ basename ../../../../module/e1000</pre>
: <pre>e1000</pre>
 
Cos� abbiamo inserito il lungo risultato del symlink, ottenuto da ''readlink'', quale parametro nel programma ''basemane'', permettendo cos� l'intero processo di essere realizzato in una sola riga.
 
Ora che abbiamo identificato il nome del modulo, si dovrebbe trovare l'opzione della configurazione del kernel che lo controlla. Si pu� cercare nei vari menu di configurazione dei dispositivi di rete oppure cercare nel codice sorgente del kernel stesso per essere sicuri di avere l'opzione giusta.


La sintassi dell'elenco è la seguente:
<pre>
<pre>
$ cd ~/linux/linux-2.6.17.8
[action]/directory [controlli]
$ find -type f -name Makefile | xargs grep e1000
./drivers/net/Makefile:obj-$(CONFIG_E1000) += e1000/
./drivers/net/e1000/Makefile:obj-$(CONFIG_E1000) += e1000.o
./drivers/net/e1000/Makefile:e1000-objs := e1000_main.o e1000_hw.o e1000_ethtool.o e1000_param.o
</pre>
</pre>


Si precisa che "e1000'', usato in questo esempio, deve essere sostituito con il nome del modulo che state analizzando.
dove:
 
; action : è facoltativa, e rappresenta l'azione da eseguire. L'azione di default è di esplorare la directory e tutto il suo contenuto. Le alternative sono:
La cosa che ci interessa nel risultato del precedente comando ''find'' sono le righe dove compaia il termine <tt>'''CONFIG_'''</tt>. Questa � l'opzione di configurazione che il kernel deve aver attivato per poter compilare il modulo. Nell'esempio precedente l'opzione di configurazione che c'interessa � pertanto <tt>CONFIG_E1000</tt>.
: <code>!</code> : l'operatore di negazione: <code>!/etc</code> indica di non controllare il contenuto della directory <code>/etc</code>;
 
: <code>=</code> : indica di non esplorare ricorsivamente il contenuto della directory;
Adesso si dispone dell'informazione necessaria per poter configurare il kernel. Si esegue lo strumento menu di configurazione:
: <code>$</code> : permette di creare una regola che non va ad agire sulle sottodirectory ma solo sulla directory (ed i file contenuti) indicata
 
; /directory : indica il percorso su cui agire;
<pre>$ make menuconfig</pre>
; [controlli] : permette di specificare i controlli da eseguire;
 
: <code>s</code> : [[checksum]];
Dopodich� si prema il tasto / (slash) (che ha il compito di far partire una ricerca), e si digita l'opzione di configurazione, senza la parte di testo <tt>CONFIG_</tt>. Questo processo � mostrato nella [[:Immagine:Config_search.png|figura 7-1]].
: <code>i</code> : [[inode]];
 
: <code>p</code> : permessi;
[[Immagine:Config_search.png|center|frame|''Figura 7-1. Ricerca in menuconfig.'']]
: <code>l</code> : numero di link;
 
: <code>u</code> : [[uid]];
Il sistema di configurazione del kernel vi dir� ora esattamente dove selezionare l'opzione per abilitare questo modulo. Vedi [[:Immagine:Config_search_found.png|figura 7-2]].
: <code>g</code> : [[gid]];
 
: <code>z</code> : la dimensione dei file (risulta essere un controllo ridondante se viene effettuato anche il controllo del checksum);
[[Immagine:Config_search_found.png|center|frame|''Figura 7-2. Risultato della ricerca in menuconfig.'']]
: <code>a</code> : la data di accesso;
 
: <code>m</code> : la data di modifica;
Il primo elemento nella schermata mostra l'opzione che stavate cercando. Le informazioni mostrate dalla schermata vi dicono che, per attivare il modulo <tt>E1000</tt> nel kernel,  la seguente opzione di configurazione deve essere abilitata:
: <code>r</code> : reimposta la data di accesso
 
: le opzioni possono essere scritte in due modi: in minuscolo, il che indica che il controllo deve essere fatto, oppure in maiuscolo, per indicare che il controllo non deve essere effettuato.
  Device Drivers
      Network device support
      [*] Network device support
          Ethernet (1000 Mbit)
      [*] Intel(R) PRO/1000 Gigabit Ethernet support
 
Questo modo di procedere funziona per ogni tipo di dispositivo attivo nel kernel.
 
====Esempio: Un dispositivo USB====
 
Come secondo esempio, esaminiamo ora un convertitore USB-seriale che � presente nel nostro sistema preso ad esempio. Attualmente il convertitore � collegato alla porta ''/dev/ttyUSB0'', pertanto si deve prendere in esame la sezione tty del ''sysfs''.
<pre>$ ls /sys/class/tty/ | grep USB
ttyUSB0</pre>
Potete ora eseguire una ricerca di questo dispositivo nel ''sysfs'' allo scopo di trovare il modulo che lo gestisce, utilizzando la stessa procedura mostrata nella sezione precedente:
 
<pre>$ basename `readlink /sys/class/tty/ttyUSB0/device/driver/module`
pl2303</pre>
Dopodich�, per poter individuare l'opzione di configurazione che si deve abilitare, si cerca nell'albero del codice sorgente del kernel:
<pre>$ cd ~/linux/linux-2.6.17.8
$ find -type f -name Makefile | xargs grep pl2303
./drivers/usb/serial/Makefile:obj-$(CONFIG_USB_SERIAL_PL2303) += pl2303.o</pre>


Si utilizzi lo strumento di configurazione del kernel, come indicato in [[:Immagine:Config_search_pl2303.png|figura 7-3]], per trovare l'opzione adeguata da abilitare relativa al settaggio dell'opzione CONFIG_USB_SERIAL_PL2303.
È necessario decommentare le opzioni principali del file, personalizzandole se necessario, e aggiungere le altre azioni desiderate, per poter eseguire il comando. Non c'è infatti un'impostazione di default.


[[Immagine:Config_search_pl2303.png|center|frame|''Figura 7-3. Ricerca di USB_SERIAL_PL2303''.]]
=== Debian ===
Il file di configurazione <code>/etc/integrit/integrit.debian.conf</code> viene utilizzato dal cron presente in <code>/etc/cron.daily/integrit</code>.


Nel nostro caso il risultato � mostrato nella [[:Immagine:Config_search_pl2303_found.png|figura 7-4]].
Il file di configurazione è composto da quattro variabili:
 
; <code>CONFIGS</code> : contiene l'elenco dei file di configurazione da far processare ad integrit. Dopo l'installazione è vuoto, quindi dovremo aggiungere quello che abbiamo precedentemente creato: <code>/etc/integrit/integrit.conf</code>;
[[Immagine:Config_search_pl2303_found.png|center|frame|''Figura 7-4. Risultato della ricerca di USB_SERIAL_PL2303'']]
; <code>EMAIL_RCPT</code> : l'indirizzo del destinatario di posta elettronica a cui inviare la mail di notifica (root va bene se sono stati correttamente modificati gli alias di posta, altrimenti potete tranquillamente inserire il vostro indirizzo);
 
; <code>EMAIL_SUBJ</code> : l'oggetto della mail che riceverete. Normalmente non è necessario effettuare modifiche;
Ci� mostra esattamente dove trovare l'opzione <tt>USB Profilic 2303 Single Port Serial Driver</tt> che � necessaria alla corretta gestione di questo dispositivo.
; <code>ALWAYS_EMAIL</code> : ''true'' se si desidera ricevere una mail di notifica anche quando non vengono riscontrate anomalia, ''false'' altrimenti.
 
====Riassunto: Alla scoperta del dispositivo====
 
Riassumendo, ecco i vari passaggi che servono per identificare il driver funzionante di un dispositivo ad esso collegato:
: 1. Trovate la corretta classe di dispositivi in ''sysfs'' relativa al dispositivo che ci interessa. I dispositivi di rete sono elencati in ''/sys/class/net'', mentre i dispositivi tty sono elencati in ''/sys/class/tty''. Gli altri vari dispositivi si trovano in altre sotto-directory di ''/sys/class'', a seconda del tipo.
: 2. Ricercate nell'albero di ''sysfs''  il nome del modulo che controlla il dispositivo in oggetto. Lo si trova in ''/sys/class/class_name/device_name/device/driver/module'', la ricerca � agevolata se si utilizzano i comandi ''readlink'' e ''basename''.
:<pre>$ basename `readlink /sys/class/class_name/device_name/device/driver/module`</pre>
: 3. Ricercate nei file Makefile con ''find'' e ''grep'' le opzioni <tt>CONFIG_</tt> che abilitano il modulo
:<pre>$ find -type f -name Makefile | xargs grep ''module_name''</pre>
: 4. Ricercate l'opzione trovata nel sistema di configurazione del kernel, dopodich� andate dove indicato dal menu per attivare il driver in oggetto.
 
====Lasciamo che il kernel ci dica ci� di cui abbiamo bisogno====
Dopo esserci infilati nel ''sysfs'' e aver seguito i sui symlinks per ricercare passo passo i nomi dei moduli, presentiamo un semplice script che far� per noi tutto il lavoro in un modo leggermente diverso:


Una volta modificato il file di configurazione non ci resta che testare il tutto con un semplice
<pre>
<pre>
#!/bin/bash
# /etc/cron.daily/integrit
#
# find_all_modules.sh
#
for i in `find /sys/ -name modalias -exec cat {} \;`; do
    /sbin/modprobe --config /dev/null --show-depends $i ;
done | rev | cut -f1 -d '/' | rev | sort -u
</pre>
</pre>
magari impostando <code>ALWAYS_EMAIL</code> a ''true'' per effettuare un po' di [[debug]].


Si pu� scaricare un file d'esempio, contenente questo script, dal sito web del libro, riportato nella sezione ''Come contattarci'' che si trova nella prefazione.
== Funzionamento ==
 
Il funzionamento è semplice: ogni volta che viene effettuato un update, viene creato il database '''current''' che raccoglie lo stato attuale del sistema. Ogni volta che viene effettuato un check, invece, viene confrontato il database di tipo '''current''' con il '''known''', in caso di discrepanze (ed in base alle regole definite nel file di configurazione) viene generato il report.
Questo script cerca nel ''sysfs'' tutti file chiamati ''modalias''. Il file ''modalias'' contiene gli alias dei moduli e comunica al comando ''modprobe'' quali moduli debbano essere caricati per ogni dispositivo. L'alias del modulo � composto da una combinazione di: produttore del dispositivo, ID, tipo di classe ed altri identificativi univoci per il tipo di dispositivo in questione. Tutti i moduli del driver del kernel hanno una lista interna dei dispositivi che supportano, che � generata automaticamente dalla lista dei dispositivi che il driver comunica al kernel di poter supportare. Il comando ''modprobe'' ricerca tutti i dispositivi nella lista di tutti i driver e cerca di trovare una corrispondenza confrontando l'alias. Se trova una corrispondenza, allora provvede al caricamento del modulo (questa procedura � la stessa seguita dal caricamento automatico dei driver in Linux).
 
Lo script prevede l'arresto del programma ''modprobe'' prima di caricare il modulo, e visualizza a schermo solo le azioni che eseguirebbe. Questo ci d&agrave; una lista di tutti i moduli che sono necessari al controllo di tutti i dispositivi del sistema. Eseguendo una piccola pulizia della lista, ordinandola e selezionando i campi adeguati,
otteniamo il seguente risultato:
 
<pre>
$ find_all_modules.sh
8139cp.ko
8139too.koo
ehci-hcd.ko
fimware_vlass.ko
i2c-i801.ko
ieee80211.ko
ieee80211_crypt.ko
ipw2200.ko
mii.ko
mmc_core.ko
pcmcia_core.ko
rsrc_nonstatic.ko
sdhci.ko
snd-hda-codec.ko
snd-hda-intel.ko
snd-page-alloc.ko
snd-pmc.ko
snd-timer.ko
snd.ko
soundcore.ko
uhci-hcd.ko
usbcore.ko
yenta_socket.ko
</pre>
 
Questa � la lista di tutti i moduli che sono necessari alla gestione dell'hardware della macchina.
 
Lo script mostrer� probabilmente alcuni messaggi di errore che possono essere del tipo:
 
<pre>FATAL: Module pci:v00008086d00002592sv000010CFsd000012E0bc03sc00i00 not found.
FATAL: Module serio:ty01pr00id00ex00 not found.</pre>
 
Questo ci dice che non si trova un modulo che gestisce quel dispositivo. Questo non deve comunque interessare pi� di tanto, poich� alcuni dispositivi non hanno driver nel kernel che lavorino per loro.
 
==Determinare il modulo corretto partendo da zero==
Talvolta non c'� la possibilit� di avere un kernel funzionante su una macchina in modo da determinare quali moduli del kernel siano necessari per gestire l'hardware. Oppure si � aggiunto del nuovo hardware al sistema e bisogna trovare le opzioni della configurazione necessarie a farlo funzionare correttamente. Questa sezione illustrer� come determinare le opzioni di configurazione necessarie ad far funzionare l'hardware.
 
Il modo pi� semplice per capire quale driver controlla un nuovo dispositivo � quello di compilare come moduli tutti i driver di quel tipo disponibili nei sorgenti del kernel, e lasciare che il processo di avvio tramite ''udev'' associ il driver al dispositivo. Una volta fatto ci�, si dovrebbe essere in grado di risalire al driver necessario seguendo i passi descritti precedentemente, ed infine ricompilare il kernel abilitando il solo driver necessario.
 
Se invece non si vogliono compilare tutti i driver, o questo meccanismo non funziona per qualche motivo, sar� necessario un p� pi� di lavoro per individuare il driver necessario. I passi successivi sono complessi e richiedono talvolta di dover cercare nei sorgenti del kernel. Non abbiate timore di ci�, sar� solo di aiuto a comprendere meglio l'hardware ed i sorgenti del kernel.
 
I passi necessari per trovare il driver corrispondente di un dispositivo cambiano a seconda del tipo di dispositivo in questione. In questo capitolo discuteremo le due tipologie  di dispositivi pi� comuni: PCI e USB. I metodi descritti qui saranno validi anche per altri tipi di dispositivi.
 
&Egrave; inoltre molto importante per il kernel di essere in grado di trovare tutti i filesystem presenti nel sistema, ed in particolare il filesystem di root. Approfondiremop questo aspetto successivamente in [[LKN: Personalizzare un Kernel#Root filesystem|"Root filesystem"]].
 
 
===Dispositivi PCI===
I dispositivi PCI si distinguono per ''vendor ID'' e ''device ID''; ogni combinazione di  ''vendor ID'' e di ''device ID'' pu� richiedere un driver unico. Questa � la base per la ricerca mostrata in questa sezione.
 
Per questo esempio useremo un scheda di rete PCI che supporremo non funzionante con l'attuare versione del kernele in esecuzione. Questo esempio sar� diverso dalla vostra situazione, con differenti device PCI e valori ID del bus, ma i passi salienti dovrebbero essere rilevanti per ogni tipo di dispositivo PCI per il quale vogliate trovare un driver funzionante.
 
In primo luogo troviamo nel sistema il dispositivo PCI che non st� funzionando. Per ottenere una lista di tutti i dispositivi PCI usiamo il programma <code>lspci</code>. Poich� a noi interessano solo dispositivi PCI ethernet restringeremo la nostra ricerca filtrado tra i risultati solo quelli che conterranno la parola ''ethernet'' (case-insensitive):


Una volta controllate le discrepanze e verificato che siano corrette (in caso di aggiornamento di un pacchetto, ad esempio) è necessario aggiornare il database '''know''' con un semplice:
<pre>
<pre>
$ /usr/sbin/lspci | grep -i ethernet
mv /var/lib/integrit/current.cdb /var/lib/integrit/known.cdb
06:04.0 Ethernet controller: Realtek Semiconductor Co., Ltd. RTL-8139/
8139C/8139C+ (rev 10)
</pre>
</pre>


Questo � il dispositivo che vorremmo fare funzionare.
== Controllo manuale ==
 
In caso di problemi è possibile effettuare un controllo manuale richiamando lo script cron (<code>/etc/cron.daily/integrit</code>) oppure con un semplice:
{{Box|Nota:|Potreste anche provare a cercare in tutta la configurazione del kernel un dispositivo che corrisponde alla stringa mostrata sopra (un dispositivo della Realtek Semiconductors con nome prodotto RTL-8139/8139C/8139C+), ma questo non funziona sempre. Per questo motivo useremo la via lunga in questo capitolo.}}
 
::[[Immagine:Warning_65x68.jpg|left]] Quasi tutte le distribuzioni mettono il programma <tt>lspci</tt> in <tt>/usr/sbin/</tt>, ma alcune lo mettono in altri percorsi. Per trovare in quale posizione � stato messo digitare:
 
::<tt>$ '''which lspci'''</tt>
::<tt>/usr/sbin/lspci</tt>
 
Se state usando una distribuzione che mette ''lspci'' in una altra posizione usate il percorso corretto per il vostro caso negli esempi seguenti.
 
Le primi bit d'informazione che l'output di ''lspci'' ci mostra sono l'ID del bus PCI per questo dispositivo, <tt>06:04.0</tt>. Questo � il valore che useremo quando guarderemo nel ''sysfs'' per trovare pi� informazioni riguardo questo dispositivo.
 
Andiamo in ''sysfs'' dove tutti i dispositivi PCI sono elencati, e guardiamo i loro nomi:
 
<pre>
<pre>
$ cd /sys/bus/pci/devices/
# integrit -cu -C /etc/integrit/integrit.conf
$ ls
0000:00:00.0 0000:00:1d.0  0000:00:1e.0 0000:00:1f.3 0000:06:03.3
0000:00:02.0 0000:00:1d.1  0000:00:1f.0 0000:06:03.0 0000:06:03.4
0000:00:02.1 0000:00:1d.2  0000:00:1f.1 0000:06:03.1 0000:06:04.0
0000:00:1b.0 0000:00:1d.7  0000:00:1f.2 0000:06:03.2 0000:06:05.0
</pre>
</pre>


Il kernel numera i dispositivi PCI con un <tt>0000:</tt> iniziale che non viene mostrato nell'output di ''lspci''. Dunque, aggiungiamo un <tt>0000:</tt> al numero datoci da ''lspci'' e entriamo in quella directory:
== Link Utili ==
 
* Home Page del progetto: http://integrit.sourceforge.net/
  $ cd 0000:06:04.0
{{Autori
 
|Autore = [[Utente:MaXeR|MaXeR]]
In questa directory vogliamo conoscere il valori dei file ''vendor'' e ''device''.
 
<pre>
$ cat vendor
0x10ec
$ cat device
0x8139
</pre>
 
Questi sono il ''vendor ID'' ed il ''device ID'' per questo dispositivo PCI. Il kernel usa questi valori per associare correttamente un driver ad un dispositivo. I driver PCI dicono al kernel quale vendor e device ID supporteranno cos� che il kernel sappia come collegare il driver al dispositivo corretto. Scriveteli da qualche parte, dato che ci riferiremo a loro pi� tardi.
Ora che sappiamo il vendor e il product ID per questo dipositivo PCI, abbiamo bisogno di trovare i driver del kernel corretto che dica che supporta questo dispositivo. Tornate indietro alla directory di source del kernel:
 
      <B>$ cd ~/linux/linux-2.6.17.8/</B>
 
Il posto pi� comune per gli ID PCI nell'albero sorgente del kernel � include/linux/pci_ids.h. Cercate in quel file il vostro product number vendor:
 
      <B>$ grep -i 0x10ec include/linux/pci_ids.h</B>
      #define PCI_VENDOR_ID_REALTEK                  0x10ec
 
* Alcuni processori 64-bit mostreranno il "leading bus number" per i dispositivi PCI nell'output di lspci, ma per la maggiorparte delle comuni macchine Linux, non verr� mostrato di default.
 
Il valore qui definito, PCI_VENDOR_ID_REALTEK � ci� che probabilmente sar� usato in qualsiasi kernel driver che ha la pretesa di supportare i dispositivi di quel produttore.
Per essere sicuri, cercate il nostro device ID anche in questo file , dato che � a volte descritto la:
 
      <B>$ grep -i 0x8139 include/linux/pci_ids.h</B>
      #define PCI_DEVICE_ID_REALTEK_8139        0x8139
 
 
Questa definizione verr� utile pi� tardi.
Ora cercate nei file sorgenti dei driver relativi a questo produttore:
 
      <B>$ grep -Rl PCI_VENDOR_ID_REALTEK *</B>
      include/linux/pci_ids.h
      drivers/net/r8169.c
      drivers/net/8139too.c
      drivers/net/8139cp.c
 
Non dobbiamo guardare nel primo file riportato qui, pci_ids.h, dato che � dove abbiamo trovato la definizione originale. Ma i file r8139.c, 8139too.c, e 8169cp.c nella sottodirectory drivers/net/ dovrebbero essere esaminati pi� da vicino.
Aprite uno di questi dile in un editor e cercate PCI_VENDOR_ID_REALTEK. Nel file drivers/net/r8169.c, si vede nella seguente sezione di codice:
 
      static struct pci_device_id rtl8169_pci_tbl[] = {
              { PCI_DEVICE(PCI_VENDOR_ID_REALTEK, 0x8169), },
              { PCI_DEVICE(PCI_VENDOR_ID_REALTEK, 0x8129), },
              { PCI_DEVICE(PCI_VENDOR_ID_DLINK,      0x4300), },
              { PCI_DEVICE(0x16ec,                  0x0116), },
              { PCI_VENDOR_ID_LINKSYS,              0x1032, PCI_ANY_ID, 0x0024, },
              {0,},
      };
 
Tutti i driver PCI contengono una lista di dispositivi differenti che supportano. Questa lista � contenuta in una struttura di valori struct pci_device_id, come questa. Questo � ci� che dobbiamo cercare per determinare se il nostro dispositivo � supportato da questo driver. Il valore del vendor corrisponde qui, ma il secondo valore dopo il vendor � il valore di dispositivo. Il nostro dispositivo ha il valore 0x8139, mentre questo driver supporta i valori di dispositivi per 0x8169 e 0x8129 con il vendor ID di PCI_VENDOR_ID_REALTEK. Per cui questo driver non supporter� il nostro dispositivo.
Spostandoci al prossimo file, drivers/net/8139too.c, possiamo trovare la stringa PCI_VENDOR_ID_REALTEK nel seguente pezzo di codice:
 
<pre>
if (pdev->vendor == PCI_VENDOR_ID_REALTEK &&
pdev->device == PCI_DEVICE_ID_REALTEK_8139 && pci_rev >= 0x20) {
  dev_info(&pdev->dev,"This (id %04x:%04x rev %02x) is an enhanced 8139C+ chip\n",
      pdev->vendor, pdev->device, pci_rev);
  dev_info(&pdev->dev, "Use the \"8139cp\" driver for improved performance and stability.\n");
}}
}}
</pre>
L'utilizzo del valore di PCI_VENDOR_ID_REALTEK qui corrisponde anche con il codice che controlla se il dispositivo PCI ID corrisponde al valore PCI_DEVICE_ID_REALTEK_8139. Se corrisponde, il driver stamper un messaggio che dice: "Use the 8139cp for improved performance and stability." Forse dovremmo guardare a quel driver di seguito. Anche se non avessimo tale visibile consiglio, il driver 8139too.c non ha la coppia vendor e device ID che stiamo cercando in una variabile del tipo struct pci_device_id, ci ci dice che non supporta il nostro dispositivo.
Infine, guardate nel file drivers/net/8139cp.c. Usa la definizione PCI_VENDOR_ID_REALTEK nel seguente pezzo di codice:
<pre>
static struct pci_device_id cp_pci_tbl[] = {
              { PCI_VENDOR_ID_REALTEK, PCI_DEVICE_ID_REALTEK_8139,
                PCI_ANY_ID, PCI_ANY_ID, 0, 0, },
              { PCI_VENDOR_ID_TTTECH, PCI_DEVICE_ID_TTTECH_MC322,
                PCI_ANY_ID, PCI_ANY_ID, 0, 0, },
              { },
    };
    MODULE_DEVICE_TABLE(pci, cp_pci_tbl);
</pre>
Qui c' l'uso di entrambi i valori del nostro vendor e device ID in una variabile struct pci_device_id. Questo driver dovrebbe supportare il nostro dispositivo.
Ora che abbiamo il nome del driver, possiamo lavorare a ritroso, come mostrato nella prima sezione del capitolo, per trovare l'appropriato valore di configurazione del kernel che dovrebbe abilitare la compilazione di questo driver.
Riassumendo, qui ci sono i passaggi necessari al fine di trovare quale driver PCI pu controllare uno specifico dispositivo PCI:<br>
1. Trovate il bus PCI ID del dispositivo pere il quale volete trovare il driver, usate lspci.<br>
2. Andate nella directory /sys/bus/pci/devices/0000:bus_id, dove bus_id il bus PCI trovato nel passaggio precedente.<br>
3 Leggete i valori del vendor e dei file dei dispositivi nella directory dei dispositivi PCI.<br>
4. Tornate all'albero sorgente del kernel guardate in include/linux/pci_ids.h per il vendor PCI e device ID trovato nel passaggio precedente.<br>
5. Cercate nell'albero sorgente del kernel per le referenze a quei valori nei driver. Sia il vendor che il device ID devono essere in una struttura struct pci_device_id.<br>
6. Cercate nel Makefile del kernel la regola CONFIG_ che compila questo driver usando find e grep:<br>
<B>$ find -type f -name Makefile | xargs grep DRIVER_NAME</B><br>
7. Cercate nel sistema di configurazione del kernel quel valore di configurazione e andate nel posto di menu che specifica per abilitare il driver da compilare.<br>
===Dispositivi USB===
Trovare il driver specifico per un dispositivo USB come trovare un driver per un dispositivo PCI come descritto nella precedente sezione, con solo differenze minori nel trovare il valore di bus ID.
In questo esempio, troviamo il driver che necessario per un dispositivo USB wireless. Come per l'esempio del dispositivo PCI, i dettagli in questo esempio saranno differenti dalla vostra situazione, ma i passi necessari saranno pertinenti per ogni tipo di dispositivo USB per il quale desiderate trovare un driver funzionante.
Come per il dispositivo PCI, il bus ID deve essere trovato per il dispositivo USB per il quale volete trovare il driver. Per fare ci,  potete usare il programma lsusb che si trova nel package usbutils.
Il programma lsusb mostra tutti i dispositivi USB attaccati al sistema. Dato che voi non conoscete come il dispositivo specifico che state cercando chiamato, cominciate a guardare a tutti i dipsoitivi:
    <B>$ /usr/sbin/lsusb</B>
    Bus 002 Device 003:  ID 045e:0023 Microsoft Corp. Trackball Optical
    Bus 002 Device 001:  ID 0000:0000
    Bus 005 Device 003:  ID 0409:0058 NEC Corp. HighSpeed Hub
    Bus 005 Device 001:  ID 0000:0000
    Bus 004 Device 003:  ID 157e:300d
    Bus 004 Device 002:  ID 045e:001c Microsoft Corp.
    Bus 004 Device 001:  ID 0000:0000
    Bus 003 Device 001:  ID 0000:0000
    Bus 001 Device 001:  ID 0000:0000
I dispositivi con un ID di 0000:0000 possono venir ignorati, dal momento che sono USB host controller che guidano il bus stesso. Filtrandoli ci lascia con quattro dispositivi:
      <B>$ /usr/sbin/lsusb |  grep -v 0000:0000</B>
      Bus 002 Device 003:  ID 045e:0023 Microsoft Corp. Trackball Optical
      Bus 005 Device 003:  ID 0409:0058 NEC Corp. HighSpeed Hub
      Bus 004 Device 003:  ID 157e:300d
      Bus 004 Device 002:  ID 045e:001c Microsoft Corp.
Dato che i dispositivi USB sono facili da rimuovere, fate l'unplug del dispositivo di cui volete trovare il driver ed eseguite lsusb ancora:
      <B>$ /usr/sbin/lsusb |  grep -v 0000:0000</B>
      Bus 002 Device 003:  ID 045e:0023 Microsoft Corp. Trackball Optical
      Bus 005 Device 003:  ID 0409:0058 NEC Corp. HighSpeed Hub
      Bus 004 Device 002:  ID 045e:001c Microsoft Corp.
Il terzo dispositivo ora manca, che significa il dispositivo mostrato come:
  Bus 004 Device 003: ID 157e:300d
il dispositivo per cui volete trovare il driver.
Se voi riattaccate il dispositivo e guardate all'output di lsusb ancora, il numero del dispositivo sar cambiato:
      <B>/usr/sbin/lsusb | grep 157e</B>
    Bus 004 Device 004: ID 157e:300d
Questo dovuto al fatto che i numeri dei dispositivi USB non sono unici, ma cambiano ogni volta che un dispositivo viene inserito dentro. Ci che fisso il vendor e product ID, mostrato qui da lsusb come valore a due quattro cifre con un : tra loro. Per questo dispositivo, il vendo ID e' 157e e il product ID e' 300d. Scrivetevi i valori che trovate dato che li userete nei passi successivi.<br>
Come per i dispositivi PCI, cercheremo il codice sorgente del kernel per il vendor USB e per il product IDs per trovare il driver adeguato e controllare questo dispositivo. Sfortunatamente, nessun singolo file contiene tutti gli ID vendor USB, come invece PCI ha. Cos una ricerca nel codice sorgente dell'intero kernel necessaria:
      <B>$ grep -i -R -l 157e drivers/*</B>
      drivers/atm/pca200e.data
      drivers/atm/pca200e_ecd.data
      drivers/atm/sba200e_ecd.data
      drivers/net/wireless/zd1211rw/zd_usb.c
      drivers/scsi/ql1040_fw.h
      drivers/scsi/ql1280_fw.h
      drivers/scsi/qlogicpti_asm.c
Sappiamo che questo un dispositivo USB wireless, e non un dispositivo ATM o SCSI, per cui in questo modo noi possiamo sicuramente ignorare i file trovati nelle directory atm e scsi. Quindi resta il file drivers/
net/wireless/zd1211rw/zd_usb.c da controllare.
zd_usb.c mostra la stringa 157e nel seguente pezzo di codice:
      static struct usb_device_id usb_ids[]    ={
              /* ZD1211 */
              { USB_DEVICE(0x0ace, 0x1211),  .driver_info =  DEVICE_ZD1211  },
              { USB_DEVICE(0x07b8, 0x6001),  .driver_info =  DEVICE_ZD1211  },
              { USB_DEVICE(0x126f, 0xa006),  .driver_info =  DEVICE_ZD1211  },
              { USB_DEVICE(0x6891, 0xa727),  .driver_info =  DEVICE_ZD1211  },
              { USB_DEVICE(0x0df6, 0x9071),  .driver_info =  DEVICE_ZD1211  },
              { USB_DEVICE(0x157e, 0x300b),  .driver_info =  DEVICE_ZD1211  },
              /* ZD1211B */
              { USB_DEVICE(0x0ace, 0x1215),  .driver_info = DEVICE_ZD1211B },
              { USB_DEVICE(0x157e, 0x300d),  .driver_info = DEVICE_ZD1211B },
              {}
      };
Come per i driver PCI, i driver USB dicono al kernel quali dispositivi supportano affinch il kernel possa associare il driver al dispositivo. Ci viene fatto usando una struct usb_device_id variabile, come mostrato qui. Questa una lista dei differenti vendor e product ID che sono supportati da questo driver. La linea:
      { USB_DEVICE(0x157e, 0x300b), .driver_info = DEVICE_ZD1211 },
mostra che il nostro vendor e product ID sono supportati da questo driver.
Una volta che avete il nome del driver che necessario per controllare il dispositivo, lavorate al contrario attraverso i Makefile del kernel, come descritto precedentemente nel capitolo, su come abilitare il driver per compilarlo appropriatamente.
Riassumendo, i passaggi necessari per trovare quale driver USB controller uno specifico dispositivo USB sono:
1. Trovare il vendor USB e il product ID del dispositivo per il quale volete trovare il driver, usando lsusb dopo aver aggiunto e rimosso il dispositivo per vedere cosa cambiato nella lista.<br>
2. Cercate l'albero del codice sorgente del kernel per il vendor e il product ID del dispositivo USB. Sia il vendor e il product ID dovrebbero essere in una definizione struct usb_device_id.<br>
3. Cercate i Makefile del kernel per la regola CONFIG_ che compila questi driver, usando find e grep:
    <B>$ find -type f -name Makefile | xargs grep DRIVER_NAME</B>
4. Cercate nella configurazione di sistema del kernel il valore di quella configurazione e andate alla locazione ,nel menu, specifica per abilitare il driver da compilare.
===Root filesystem===
Il filesystem root il filesystem dal quale la porzione principale del sistema caricante fa il boot. Contiene tutti i programmi iniziali che fanno partire la distribuzione e solitamente contiene anche l'intero sistema di configurazione per la macchina. In breve, molto importante, e deve essere capace di esser trovato dal kernel a boot time affinch le cose funzionino propriamente.
Se il vostro nuovo kernel configurato muore a boot time con un errore del tipo:
VFS: Cannot open root device hda2 (03:02)
    Please append a correct "root=" boot option
    Kernal panic: VFS: Unable to mount root fs on 03:02
significa che il root filesystem non e' stato trovato. Se non state usando una immagine ramdisk a boot time, solitamente raccomandabile che compiliate sia il filesystem che usate come partizione di root, e il disk controller per quel disco, nel kernel, invece di averlo come modulo. Se usate un ramdisk a boot time, voi dovreste di sicuro compilare queste porzioni come moduli.
::[[Immagine:Warning_65x68.jpg|left]]Come potete determinare se state usando un ramdisk a boottime? Nel capitolo 5 abbiamo menzionato l'uso dell'installation script della distribuzione per installare il kernel contro il fare l'installazione per proprio conto. Se state usando l'installation script della distribuzione, state probabilmente usando un ramdisk. se lo state installando per vostro conto, probabilmente non lo state usando.
Le seguenti sottosezioni mostrano come lasciare che il kernel trovi il root filesystem durante il boot.
====Tipo del filesystem====
Primo, il tipo di filesystem che la partizione di root sta usando necessita di esser determinata. Per fare ci, guardate nell'output del comando di mount:
$mount |grep " / "
/dev/sda2 on / type ext3 (rw,noatime)
Siamo interessati al tipo di filesystem, che viene mostrato dopo la parola type. In questo esempio, ext3. Questo il tipo di filesystem che la partizione di root sta usando. Andate nel sistema di configurazione del kernel e siate sicuri che questo tipo di filesystem sia abilitato, come descritto ne lCapitolo 8.
====Controller del disco====
Nell'output del comando appena mostrato, la prima porzione di linea mostra su quale dispositivo a blocchi il root filesystem montato. In questo esempio, /dev/sda2. Ora che il filesystem correttamente configurato nel vostro kernel, dovete essere sicuri che questo dispositivo a blocchi funzioner correttamente. Per trovare quali driver sono necessari per questo, dovete guardare in sysfs ancora.
Tutti i dispositivi a blocchi mostrati in sysfs sia in /sys/block o in /sys/class/block, dipendono dalla versione del kernel che state usando. In entrambi i posti, i dispositivi a blocchi sono un albero, con le partizioni differenti essendo figli del dispositivo principale:
$ tree -d /sys/block/ | egrep "hd|sd"
|-- hdc
|-- hdd
`-- sda  |-- sda1
  |-- sda2  |-- sda3
Data l'informazione nel comando di mount, dovete essere sicuri che il dispositivo sda2 configurato correttamente. Poich questa una partizione (le partizioni di un disco sono numerate, mentre i dispositivi a blocchi principali non lo sono), l'intero dispositivo sda deve essere configurato. (Senza il dispositivo a blocchi principale, non c' possibilit di accedere alle partizioni individuali su quel dispositivo).
Il dispositivo a blocchi sda rappresentato semplicemente come il dispositivo di rete che abbiamo visto precedentemente in questo capitolo. Esiste un symlink nella directory del dispositivo chiamato device che punta al dispositivo logico che controlla il dispositivo a blocchi:
$ ls -l /sys/block/sda
...
device -> ../../devices/pci0000:00/0000:00:1f.2/host0/target0:0:0/0:0:0:0
...
Ora avete bisogno di iniziare a scorrere la catena dei sispositivi nel sysfs per trovare quale driver sta controllando questo dispositivo:
$ ls -l /sys/devices/pci0000:00/0000:00:1f.2/host0/target0:0:0/0:0:0:0
...
driver -> ../../../../../../bus/scsi/drivers/sd
...
Qui vediamo che il driver del controller del disco SCSI responsabile per il funzionamento di questo dispositivo. Cos sappiamo che dobbiamo configurare il supporto ai dischi SCSI nella nostra configurazione del kernel. Continuando a salire la catena delle directory in sysfs, provate a trovare dove il driver che controlla l'hardware:
$ ls -l /sys/devices/pci0000:00/0000:00:1f.2/host0
...
Ancora, nessun driver qui. Continuando di un livello in su:
$ ls -l /sys/devices/pci0000:00/0000:00:1f.2
...
driver -> ../../../bus/pci/drivers/ata_piix
Ecco! Questo il controller del disco di cui abbiamo bisogno da assicurare che sia nella nostra configurazione del kernel.
Cos per questo root filesystem, abbiamo bisogno di abilitare l'ext3, sd, e ata_piix driver nella nostra configurazione del kernel cos che saremo capaci di fare il boot con successo del nostro kernel su questo hardware.
===Un aiuto dallo script===
Come menzionato all'inizio del capitolo, file e directory nel sysfs cambiano da una versione del kernel a un altra. Qui c' uno script che alla portata di mano per determinare il driver del kernel necessario e il module name per ogni dispositivo nel sistema. E' stato sviluppato con gli sviluppatori del kernel responsabili per il sysfs e dovrebbe funzionare con successo con tutte le versioni future del kernel 2.6 .
Per esempio, fa un "short work" del precedente esempio, quando dovete prendere tutti i driver appropriati per i dispositivi a blocco sda:
<strong>$ get-driver.sh sda</strong>
looking at sysfs device: /sys/devices/pci0000:00/0000:00:1f.2/host0/
target0:0:0/0:0:0:0
found driver: sd
found driver: ata_piix
Posso anche trovare tutto sui driver appropriati necessari per cose complicate come i dispositivi USB-toserial:
<strong>$ get-driver.sh ttyUSB0</strong>
looking at sysfs device: /sys/devices/pci0000:00/0000:00:1d.3/usb4/4-2/4-2.
3/4-2.3:1.0/ttyUSB0
found driver: pl2303 from module: pl2303
found driver: pl2303 from module: pl2303
found driver: usb from module: usbcore
found driver: usb from module: usbcore
found driver: usb from module: usbcore
found driver: uhci_hcd from module: uhci_hcd
Potete scaricare un file di esempio contenente questo script dal web site del libro, fornito nella sezione "How to Contact Us" in Preface.
#!/bin/sh
#
# Find all modules and drivers for a given class device.
#
if [ $# != "1" ] ; then<br>
  echo<br>
  echo "Script to display the drivers and modules for a specified sysfs
  class device"
  echo "usage: $0 <CLASS_NAME>"
  echo
  echo "example usage:"
  echo " $0 sda"
  echo "Will show all drivers and modules for the sda block device."
  echo
  exit 1
fi
DEV=$1
if test -e "$1"; then
  DEVPATH=$1
else
  # find sysfs device directory for device
  DEVPATH=$(find /sys/class -name "$1" | head -1)
  test -z "$DEVPATH" && DEVPATH=$(find /sys/block -name "$1" | head -1)
  test -z "$DEVPATH" && DEVPATH=$(find /sys/bus -name "$1" | head -1)
  if ! test -e "$DEVPATH"; then
  echo "no device found"
  exit 1
  fi
fi
echo "looking at sysfs device: $DEVPATH"
if test -L "$DEVPATH"; then
  # resolve class device link to device directory
  DEVPATH=$(readlink -f $DEVPATH)
  echo "resolve link to: $DEVPATH"
fi
if test -d "$DEVPATH"; then
  # resolve old-style "device" link to the parent device
  PARENT="$DEVPATH";
  while test "$PARENT" != "/"; do
  if test -L "$PARENT/device"; then
    DEVPATH=$(readlink -f $PARENT/device)
    echo "follow 'device' link to parent: $DEVPATH"
    break
  fi
  PARENT=$(dirname $PARENT)
  done
fi
while test "$DEVPATH" != "/"; do
  DRIVERPATH=
  DRIVER=
  MODULEPATH=
  MODULE=
  if test -e $DEVPATH/driver; then
  DRIVERPATH=$(readlink -f $DEVPATH/driver)
  DRIVER=$(basename $DRIVERPATH)
  echo -n "found driver: $DRIVER"
  if test -e $DRIVERPATH/module; then
    MODULEPATH=$(readlink -f $DRIVERPATH/module)
    MODULE=$(basename $MODULEPATH)
    echo -n " from module: $MODULE"
  fi
  echo
  fi
  DEVPATH=$(dirname $DEVPATH)
done
----
This is an indipendent translation of the book [http://www.kroah.com/lkn/ Linux Kernel in a Nutshell] by [http://www.kroah.com/log/ Greg Kroah-Hartman]. This translation (like the original work) is available under the terms of [http://creativecommons.org/licenses/by-sa/2.5/ Creative Commons Attribution-ShareAlike 2.5].
----


[http://www.kernel.org/pub/linux/kernel/people/gregkh/lkn/lkn_pdf/ch07.pdf ''Capitolo originale'']
[[Categoria:Monitoraggio]]
[[Categoria:Linux Kernel in a Nutshell]]

Versione delle 19:31, 14 mag 2015

Edit-clear-history.png Attenzione. Questa guida è da considerarsi abbandonata, per via del tempo trascorso dall'ultima verifica.

Potrà essere resa obsoleta, previa segnalazione sul forum, se nessuno si propone per l'adozione.


Debian-swirl.png Versioni Compatibili

Debian 6 "squeeze"
Debian 7 "wheezy"
Debian 8 "jessie"

Introduzione

Integrit è un "file verification system": è assimilabile alla famiglia degli intrusion detection system o IDS e ha la funzione di verificare che determinati file non subiscano modifiche.

Questi controlli sull'integrità dei file hanno molti vantaggi:

  • non sono pesanti: infatti vengono eseguiti prevalentemente di notte e richiedono pochi minuti
  • sono utili: un aggressore che vuole nascondere dei file, accessi o servizi potrebbe modificare file come netstat, last, w, ls...
  • si affiancano a ids di rete e software come rkhunter

Ovviamente non si tratta della soluzione di tutti i mali, in quanto potrebbe essere possibile che l'aggressore abbia modificato anche l'eseguibile di integrit, però un controllo in più non fa mai male!

Installazione

L'installazione è molto semplice, con privilegi di amministrazione:

# apt-get install integrit

Configurazione

I file di configurazione si trovano in /etc/integrit. Dopo l'installazione sono presenti i seguenti file:

integrit.conf
un template di file di configurazione (infatti è tutto commentato), lo utilizzeremo in seguito come punto di partenza;
integrit.debian.conf
il file di configurazione utilizzato dal cron di Debian.

Integrit

Il file di configurazione di integrit è semplice ed è composto dalle seguenti sezioni (inizialmente commentate):

root
la directory di partenza (normalmente /)
know
il path per il database contenente lo stato conosciuto del sistema (default /var/lib/integrit/known.cdb)
current
il path del database usato per effettuare il confronto tra lo stato conosciuto e quello attuale (default /var/lib/integrit/current.cdb)

seguito da un elenco di file da ignorare.

La sintassi dell'elenco è la seguente:

[action]/directory [controlli]

dove:

action
è facoltativa, e rappresenta l'azione da eseguire. L'azione di default è di esplorare la directory e tutto il suo contenuto. Le alternative sono:
! : l'operatore di negazione: !/etc indica di non controllare il contenuto della directory /etc;
= : indica di non esplorare ricorsivamente il contenuto della directory;
$ : permette di creare una regola che non va ad agire sulle sottodirectory ma solo sulla directory (ed i file contenuti) indicata
/directory
indica il percorso su cui agire;
[controlli]
permette di specificare i controlli da eseguire;
s : checksum;
i : inode;
p : permessi;
l : numero di link;
u : uid;
g : gid;
z : la dimensione dei file (risulta essere un controllo ridondante se viene effettuato anche il controllo del checksum);
a : la data di accesso;
m : la data di modifica;
r : reimposta la data di accesso
le opzioni possono essere scritte in due modi: in minuscolo, il che indica che il controllo deve essere fatto, oppure in maiuscolo, per indicare che il controllo non deve essere effettuato.

È necessario decommentare le opzioni principali del file, personalizzandole se necessario, e aggiungere le altre azioni desiderate, per poter eseguire il comando. Non c'è infatti un'impostazione di default.

Debian

Il file di configurazione /etc/integrit/integrit.debian.conf viene utilizzato dal cron presente in /etc/cron.daily/integrit.

Il file di configurazione è composto da quattro variabili:

CONFIGS
contiene l'elenco dei file di configurazione da far processare ad integrit. Dopo l'installazione è vuoto, quindi dovremo aggiungere quello che abbiamo precedentemente creato: /etc/integrit/integrit.conf;
EMAIL_RCPT
l'indirizzo del destinatario di posta elettronica a cui inviare la mail di notifica (root va bene se sono stati correttamente modificati gli alias di posta, altrimenti potete tranquillamente inserire il vostro indirizzo);
EMAIL_SUBJ
l'oggetto della mail che riceverete. Normalmente non è necessario effettuare modifiche;
ALWAYS_EMAIL
true se si desidera ricevere una mail di notifica anche quando non vengono riscontrate anomalia, false altrimenti.

Una volta modificato il file di configurazione non ci resta che testare il tutto con un semplice

# /etc/cron.daily/integrit

magari impostando ALWAYS_EMAIL a true per effettuare un po' di debug.

Funzionamento

Il funzionamento è semplice: ogni volta che viene effettuato un update, viene creato il database current che raccoglie lo stato attuale del sistema. Ogni volta che viene effettuato un check, invece, viene confrontato il database di tipo current con il known, in caso di discrepanze (ed in base alle regole definite nel file di configurazione) viene generato il report.

Una volta controllate le discrepanze e verificato che siano corrette (in caso di aggiornamento di un pacchetto, ad esempio) è necessario aggiornare il database know con un semplice:

mv /var/lib/integrit/current.cdb /var/lib/integrit/known.cdb

Controllo manuale

In caso di problemi è possibile effettuare un controllo manuale richiamando lo script cron (/etc/cron.daily/integrit) oppure con un semplice:

# integrit -cu -C /etc/integrit/integrit.conf

Link Utili



Guida scritta da: MaXeR Swirl-auth20.png Debianized 20%
Estesa da:
Verificata da:

Verificare ed estendere la guida | Cos'è una guida Debianized